渗透测试
在客户授权许可的情况下,由兴先道信息安全研究团队模拟黑客使用的漏洞发现技术和攻击手段,从攻击者的角度对目标系统的网络、主机系统、应用服务的安全性作深入的非破坏性探测,以发现系统的薄弱环节。渗透测试能够非常明显、直观的发现当前系统存在的安全隐患,反映系统的安全现状,为系统后续的安全建设提供指导和有价值的依据。
→ 信息泄露:对外服务是否暴露了可能被黑客利用的敏感信息。
→ 业务逻辑测试:系统是否在业务逻辑设计上存在被黑客利用的漏洞。
→ 认证测试:系统是否存在弱口令、绕过身份认证、浏览器缓存管理等漏洞。
→ 会话管理测试:系统是否存在会话劫持、CSRF 等漏洞。
→ 数据有效性验证测试:系统是否存在 SQL 注入、跨占脚本攻击、LDAP 注入等漏洞。
→ 非现场监控----由专门的渗透测试团队通过互联网进行远程测试。
向客户提交《信息系统远程渗透测试报告》。以实际案例的形式来向客户说明当前安全现状,增加客户对信息安全的认知度,提升客户的风险危机意识,从而实现内部安全等级的整体提升。
